Сервіс каталогів (directory service), КомпьютерПресс
Сервіс каталогів - одне з маркетингових назв, активно «розкручуються» останнім часом. Провідні виробники програмного забезпечення представляють його як чарівну паличку, яка може вирішити багато проблем мережі. На ринок активно просуваються такі продукти, як Novell NDS і Netscape Directory Service. До того як почати розбиратися, чому ж можуть вони допомогти системного адміністратора, має сенс з'ясувати, що таке сервіс каталогів.
Все ще не зрозуміло? Звернемося до прикладів.
Така побудова дозволяє створити глобальний сервіс імен та дати можливість кожній організації самої вносити зміни в зони, що стосуються їх самих або тих організацій, яким вони надають такий сервіс. Сервіс працює досить добре - про це можна судити хоча б тому, що багато користувачів навіть не підозрюють про його присутності.
Іншим прикладом сервісу директорій є NIS (Network Information Service) - сервіс, розроблений фірмою SUN і широко поширений в світі Unix. На відміну від DNS, NIS - локальний сервіс, що надає інформацію тільки в межах організації, для якої він налаштований. Тому в цьому сервісі відсутнє поняття домену. У NIS може бути розташована практично будь-яка інформація, яка має форму «ключ - значення», наприклад ім'я комп'ютера - його IP-номер. Але якщо цей сервіс вже надається DNS, то навіщо ж тоді мати ще й NIS? По-перше, не всі мережі підключені до Internet і їм не потрібен повний доменний сервіс, що надається DNS. По-друге, деякі організації більшості своїх комп'ютерів привласнюють номери, спеціально зарезервовані для локальних цілей, приватних мереж. За угодою згадка про ці номерах не повинно з'являтися в глобальній мережі. В даному випадку іноді краще розмістити інформацію про таких номерах в NIS.
Однак ми вважаємо, що неможливість знаходити номери комп'ютерів по їх імені стала основною причиною популярності NIS. Важлива сфера застосування NIS - поширення інформації про облікових картках користувача: його ідентифікатор, пароль, початкової робочої директорії. Це зручно, коли є мережа з декількох робочих станцій UNIX і користувач може працювати на будь-який з них.
До розробки NIS системний адміністратор був змушений вручну заводити облікову картку на кожному з комп'ютерів. Добре, якщо їх два-три, а якщо десяток? Звичайно, системні адміністратори можуть написати невелику програмку, зробивши запис про користувача на одному комп'ютері і потім скопіювавши її на інші. Але якщо один з них в цей час не включений, то він не матиме реєстраційного запису користувача. Крім того, користувач в такому випадку змушений змінювати пароль на кожній з машин. Це перетворюється на кошмар, коли їх кілька і не відразу згадаєш, де вже поміняв, а де ще немає. При застосуванні NIS все істотно спрощується, бо всі зміни проводяться лише на одній машині. Системний адміністратор робить обліковий запис тільки на головному сервері, і практично миттєво ця інформація стає доступною в усій мережі. Користувач може змінити пароль на будь-який з машин мережі, і це зміна відразу стає доступним для інших машин.
Проте є у неї і серйозні недоліки, викликані її «поважним віком» - NIS була випущена фірмою SUN в 80-і роки. Тоді просто ще не знали про нинішні проблеми. Зараз проста, бездоменная структура NIS не задовольняє потребам великого підприємства зі складною структурою. (Дійсно, у великій корпоративної мережі виникають проблеми, подібні до тих, які зважилися введенням DNS в Internet.)
Іншою проблемою NIS є те, що він не відповідає сучасним вимогам безпеки. Тепер, коли до неї включено величезна кількість користувачів і дехто з них не дуже добросовісний, вимоги безпеки виходять на перший план.
Зауважимо, що відносно недавно фірма SUN випустила нову версію - NIS +, яка виправляє багато недоліків NIS, але великого поширення ця система не отримала.
Безсумнівно, проблеми, які вирішувалися за допомогою NIS, залишаються. Більш того, в сучасних мережах з величезних кількістю різних комп'ютерів і операційних систем ці проблеми стали ще гостріше. Все більш популярною заміною NIS в таких мережах стають системи, що реалізують протокол LDAP, - його підтримують такі продукти, як NetWare Directory Service і Netscape Directory Service.
LDAP (The Lightweight Directory Access Protocol - спрощений протокол доступу до каталогів) є спрощеною (про що можна здогадатися з назви) версією стандартного X.500 DAP-протоколу - частини OSI-моделі. DAP-протокол дуже складний, йому необхідна наявність складного стека протоколів OSI, і клієнт, повністю реалізує його, вимагає від комп'ютера величезної кількості ресурсів. LDAP спочатку був задуманий як «ворота» з Internet зі стандартними протоколами TCP / IP до комп'ютера з OSI-протоколами і X.500-сервісом, що дозволяє клієнту отримувати інформацію з Internet з X.500-сервера. Це дало можливість істотно спростити протокол, зробивши реальним з невеликими витратами ресурсів використовувати LDAP-клієнти практично на будь-якій машині, що працює з TCP / IP.
Надалі з'явилися сервери, що реалізують доступ до інформації з використанням LDAP-протоколу без будь-якої участі X.500-сервера, безпосередньо з файлів на комп'ютері з LDAP-сервером. І в даний час ви можете використовувати LDAP і як «ворота», і як самостійний сервіс.
Незважаючи на істотні спрощення, LDAP успадкував багато рис X.500. І перш за все це стосується методів подання інформації в даному сервісі.
X.500, як і DNS, є глобальним сервісом, тобто кожен запис тут повинна мати унікальне по всьому світу ім'я. Імена в X.500 мають досить громіздкою структурою (як, мабуть, і все в OSI), і LDAP успадкував цю властивість. Імена складаються з пар «ім'я поля - значення», розділених комою. Так, ім'я людини (нехай це буде Іванов Іван Петрович), що працює в установі, яке називається «Інститут вивчення сервісу каталогів», в X.500 могло б мати такий вигляд:
Видно, що таке найменування спільно з глобальною системою DNS-імен відповідає вимозі глобальної унікальності. Важливим є те, що кожна організація в межах свого сервера має право самостійно вибирати схему найменування. Так, наприклад, ніщо не заважає мати запис:
для того ж Івана Петровича. Важливо тільки, що частина dc = iisk, dc = ru залишається постійною.
Система типів зафіксована не надто суворо. Кожен сервер може мати власну систему типів, які повинен розуміти і клієнт. Зараз існує кілька стандартних типів, які повинен підтримувати будь-сервер, а системний адміністратор може за необхідності вводити нові. Звичайно, при введенні нових типів потрібно забезпечувати відповідних клієнтів інформацією про ці типах.
У підсумку, незважаючи на спрощення, LDAP залишається досить громадилися сервісом. Але ця громіздкість видно системного адміністратора і прихована від користувача. Так, якщо системний адміністратор налаштовує клієнтські програми, щоб вони отримували інформацію з LDAP про паролі користувачів, то саме системний адміністратор повідомляє всю необхідну інформацію, а користувачеві досить ввести тільки своє ім'я.
Дуже важливою особливістю LDAP є його можливості розмежовувати доступ між користувачами. Протокол LDAP дозволяє вимагати від користувача ідентифікувати і аутентифицировать себе, перш ніж він отримає будь-яку інформацію. Причому доступна інформація визначається по особистості користувача. Звичайно, підтримуються і анонімні запити з можливістю обмеження доступу. Але видати певному користувачеві тільки дозволену інформацію - це ще не все. Необхідно захистити від перехоплення інформацію, передану по мережі. У сучасній мережі одним із способів поліпшення безпеки є використання криптографічних методів. Для реалізації такого захисту більшість серверів і клієнтів LDAP підтримують можливість використання стандарту SSL - протоколу використання криптографічних засобів на рівні з'єднання, що підвищує привабливість їх використання в системах, де безпеку досить важлива.
Зараз з'являється все більше продуктів, що використовують LDAP-сервіс. Зокрема, чудова підтримка LDAP на рівні клієнта вбудована в Solaris, Linux і FreeBSD. Ці системи можуть запитувати у сервера LDAP таку інформацію, як IP-номера комп'ютерів, імена і паролі користувачів. Сучасні поштові програми - sendmail, postfix і деякі інші - дозволяють налаштувати отримання інформації про місце розташування поштових скриньок користувачів. Разом з серверами Novell NDS і Netscape Directory Service поставляється спеціальне програмне забезпечення, що дозволяє синхронізувати інформацію, що зберігається в доменному контролері на NT-сервері, і інформацію, що поставляється LDAP-сервером. Novell NDS, крім того, дозволяє розділяти інформацію, надану в LDAP, і інформацію, надану клієнту і серверу Novell. Така універсальність дозволяє легко будувати великі корпоративні мережі, в яких підтримка гетерогенного середовища є істотним вимогою. Дійсно, єдине джерело інформації дозволяє уникнути багатьох незручностей і помилок, що виникають у випадках, коли кожна система адмініструється окремо.
У зв'язку з популярністю програм, що використовують LDAP-сервіс, стають все більш популярні і програмні продукти, які постачають цей сервіс. Для UNIX існує вільно розповсюджуваний продукт OpenLDAP - повний LDAP-сервер. Даний продукт може працювати майже на будь-якому UNIX. З ним поставляється набір невеликих програм, що полегшують міграцію інформації про хостах, користувачів та іншої корисної інформації з простих файлів в LDAP-сервер. На жаль, він не підтримує ні NT-сервер, ні Novell-сервер. Тому OpenLDAP зручно застосовувати тільки в мережі Unix-комп'ютерів.
Іншим продуктом, що дозволяє створити LDAP-сервер в організації, є Netscape Directory Service. Цей продукт поставляється в варіанті для багатьох UNIX і для NT-сервера. До того ж до складу продукту входять як утиліти для міграції інформації з UNIX-систем, так і програми, що дозволяють синхронізувати інформацію, що зберігається в контролері домену NT-сервера і LDAP-сервера. Зміни інформації, вироблені засобами NT, стають доступними користувачам LDAP; зміни, вироблені засобами LDAP, стають видні NT-сервера. Netscape Directory Service підтримує широкий набір засобів для забезпечення безпеки, в тому числі і використання SSL - протоколу забезпечення аутентифікації і шифрування з'єднань. Таким чином, Netscape Directory Service є хорошим вибором в гетерогенному середовищі. Однак цей сервіс не підтримує Novell- продукти.
Novell NDS працює на наступних системах: NetWare, Solaris, Windows NT. Оголошено також про випуск версії цього продукту для Linux. Novell NDS - це навіть дещо більше, ніж просто LDAP-сервер. NDS є достатньо повною системою, що дозволяє інтегрувати ресурси UNIX-, Novell- і NT-серверів. Вона включає додаткове програмне забезпечення, що служить для інтеграції сервісу на контролері домену в NT, програмне забезпечення, яке встановлюється на Solaris і додає поліпшені функції аутентифікації користувача в мережі. На UNIX вона може співіснувати з NIS / DNS-стандартним розташуванням інформації в файлах. Все це робить Novell NDS надзвичайно привабливим продуктом, особливо для гетерогенних мереж. Але це вже тема для окремої розмови.
Спостерігаючи за розвитком сервісу каталогів, можна зробити висновок про те, що його роль постійно зростає. Очевидно, це пов'язано з ускладненням мереж навіть в невеликих організаціях, з розвитком і ускладненням Internet. Крім розглянутих сервісів, які є зараз найбільш популярними, існують і інші системи. Які з них стануть популярними, а які незабаром забудуться - зараз сказати складно. В даний час популярність LDAP зростає, але навіть творці LDAP не вважають, що він може замінити DNS. Крім того, DNS також не стоїть на місці, у нього з'являються все нові можливості. Мабуть, на найближчий час ці дві системи залишаться найбільш популярними і будуть існувати паралельно, доповнюючи один одного.
Зовсім недавно компанія Cougar представила нову серію блоків живлення для традиційних ПК - VTX, орієнтовану на користувачів з обмеженим бюджетом. У цьому огляді буде розглянута модель Cougar VTX600, яка завдяки своїм характеристикам буде однією з найбільш затребуваних в цій лінійці блоків живлення
На щорічному заході Capsaicin SIGGRAPH в Лос-Анджелесі компанія AMD зміцнила свої позиції на ринку ПК класу high-end з новими процесорами Ryzen Threadripper і GPU «Vega»
Для простого і зручного побудови мереж рядовими користувачами компанія ZyXEL випустила чергову версію свого Інтернет-центру для підключення до мереж 3G / 4G через USB-модем з точкою доступу Wi-Fi - ZyXEL Keenetic 4G III, який ми і розглянемо в цьому огляді
До своєї і так великій родині роутерів і маршрутизаторів фірма ASUS недавно додала дві вельми цікаві моделі: флагманську 4G-AC55U і більш просту 4G-N12. У даній статті буде розглянута флагманська модель ASUS 4G-AC55U
Молода, але амбіційна компанія KREZ на початку цього року випустила нову, оригінальну модель ноутбука KREZ Ninja (модель TM1102B32) під керуванням Windows 10. Оскільки цей комп'ютер має поворотний екран, він може служити універсальним рішенням - його можна з успіхом використовувати і для роботи, і для навчання, і для ігор
Якщо ви часто друкуєте фотографії та вже втомилися міняти картриджі в своєму принтері, зверніть увагу на МФУ Epson L850. Великий ресурс витратних матеріалів, чудова якість відбитків, найширший набір функціональних можливостей - ось лише деякі з переваг даної моделі